Ежедневно устанавливаются такие программы как Спутник, GamesDesktop, расширения от Mail.ru. Выполнил проверку с помощью KVRT. Не помогло. Скачал программы, создал логи, которые прикреплены.
Заранее спасибо!
Ежедневно устанавливаются такие программы как Спутник, GamesDesktop, расширения от Mail.ru. Выполнил проверку с помощью KVRT. Не помогло. Скачал программы, создал логи, которые прикреплены.
Заранее спасибо!
Уважаемый(ая) [B]Vic Pinky[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010189\gmsd_ru_005010189.exe');
TerminateProcessByName('c:\program files (x86)\7f757680-1450977565-81e3-3131-bcee7b20606f\knsa6ef4.tmp');
TerminateProcessByName('c:\program files (x86)\7f757680-1451039099-81e3-3131-bcee7b20606f\knsqdd1e.tmp');
TerminateProcessByName('c:\program files (x86)\7f757680-1449838761-81e3-3131-bcee7b20606f\knsra3e8.tmpfs');
TerminateProcessByName('c:\users\Котик\appdata\local\mail.ru\mailruupdater.exe');
TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
TerminateProcessByName('c:\users\dc61~1\appdata\local\temp\nsw9954.tmp');
TerminateProcessByName('c:\users\Котик\appdata\local\smartweb\smartwebhelper.exe');
TerminateProcessByName('c:\users\Котик\appdata\local\gmsd_ru_005010189\upgmsd_ru_005010189.exe');
TerminateProcessByName('c:\users\Котик\appdata\local\temp\{76098fc0-297e-44ee-a6ea-6dc8855fc1cf}\{f75d53f0-da6b-4f8b-9ec8-38f65f2763ec}.exe');
TerminateProcessByName('c:\windows\syswow64\rundll32.exe');
StopService('hetikiju');
StopService('rudoluje');
StopService('Updater.Mail.Ru');
QuarantineFile('c:\program files (x86)\gmsd_ru_005010189\gmsd_ru_005010189.exe', '');
QuarantineFile('c:\program files (x86)\7f757680-1450977565-81e3-3131-bcee7b20606f\knsa6ef4.tmp', '');
QuarantineFile('c:\program files (x86)\7f757680-1451039099-81e3-3131-bcee7b20606f\knsqdd1e.tmp', '');
QuarantineFile('c:\program files (x86)\7f757680-1449838761-81e3-3131-bcee7b20606f\knsra3e8.tmpfs', '');
QuarantineFile('c:\users\Котик\appdata\local\mail.ru\mailruupdater.exe', '');
QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
QuarantineFile('c:\users\dc61~1\appdata\local\temp\nsw9954.tmp', '');
QuarantineFile('c:\users\Котик\appdata\local\smartweb\smartwebhelper.exe', '');
QuarantineFile('c:\users\Котик\appdata\local\gmsd_ru_005010189\upgmsd_ru_005010189.exe', '');
QuarantineFile('c:\users\Котик\appdata\local\temp\{76098fc0-297e-44ee-a6ea-6dc8855fc1cf}\{f75d53f0-da6b-4f8b-9ec8-38f65f2763ec}.exe', '');
QuarantineFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\RushDownload.dll', '');
QuarantineFile('C:\Users\DC61~1\AppData\Local\Temp\{6E705B60-BF5B-44C3-AC44-D510B849A159}\{B322D59F-C21C-4809-8792-32C955DC8E3E}.tmp', '');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
QuarantineFile('C:\Users\Котик\AppData\Roaming\ASPackage\ASPackage.exe', '');
QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
QuarantineFile('C:\Users\DC61~1\AppData\Local\Temp\Updater.exe', '');
QuarantineFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\owlnhpy.dll', '');
DeleteFile('c:\program files (x86)\gmsd_ru_005010189\gmsd_ru_005010189.exe', '32');
DeleteFile('c:\program files (x86)\7f757680-1450977565-81e3-3131-bcee7b20606f\knsa6ef4.tmp', '32');
DeleteFile('c:\program files (x86)\7f757680-1451039099-81e3-3131-bcee7b20606f\knsqdd1e.tmp', '32');
DeleteFile('c:\program files (x86)\7f757680-1449838761-81e3-3131-bcee7b20606f\knsra3e8.tmpfs', '32');
DeleteFile('c:\users\Котик\appdata\local\mail.ru\mailruupdater.exe', '32');
DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
DeleteFile('c:\users\dc61~1\appdata\local\temp\nsw9954.tmp', '32');
DeleteFile('c:\users\Котик\appdata\local\smartweb\smartwebhelper.exe', '32');
DeleteFile('c:\users\Котик\appdata\local\gmsd_ru_005010189\upgmsd_ru_005010189.exe', '32');
DeleteFile('c:\users\Котик\appdata\local\temp\{76098fc0-297e-44ee-a6ea-6dc8855fc1cf}\{f75d53f0-da6b-4f8b-9ec8-38f65f2763ec}.exe', '32');
DeleteFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\RushDownload.dll', '32');
DeleteFile('C:\Users\DC61~1\AppData\Local\Temp\{6E705B60-BF5B-44C3-AC44-D510B849A159}\{B322D59F-C21C-4809-8792-32C955DC8E3E}.tmp', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
DeleteFile('C:\Users\Котик\AppData\Roaming\ASPackage\ASPackage.exe', '32');
DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
DeleteFile('C:\Users\DC61~1\AppData\Local\Temp\Updater.exe', '32');
DeleteFile('C:\Users\Котик\AppData\Local\Rush Download\{202EDB0A-EE3D-2119-AAC8-62279B1779BB}\owlnhpy.dll', '32');
DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
DeleteService('hetikiju');
DeleteService('rudoluje');
DeleteService('Updater.Mail.Ru');
DeleteService('zizusyju');
DeleteService('woforemu');
DeleteService('rizyqibe');
DeleteService('hidekoqe');
DeleteService('ginoquci');
DeleteFileMask('c:\users\Котик\appdata\local\mail.ru', '*', true);
DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
DeleteFileMask('c:\users\Котик\appdata\local\smartweb', '*', true);
DeleteFileMask('C:\Users\Котик\AppData\Local\Rush Download', '*', true);
DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
DeleteFileMask('C:\Users\Котик\AppData\Roaming\ASPackage', '*', true);
DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
DeleteFileMask('C:\Program Files (x86)\IObit', '*', true);
DeleteDirectory('c:\users\Котик\appdata\local\mail.ru');
DeleteDirectory('c:\program files (x86)\mail.ru');
DeleteDirectory('c:\users\Котик\appdata\local\smartweb');
DeleteDirectory('C:\Users\Котик\AppData\Local\Rush Download');
DeleteDirectory('C:\Program Files (x86)\Zaxar');
DeleteDirectory('C:\Users\Котик\AppData\Roaming\ASPackage');
DeleteDirectory('C:\Program Files\SpaceSoundPro');
DeleteDirectory('C:\Program Files (x86)\IObit');
ExecuteFile('schtasks.exe', '/delete /TN "runTask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Rush Download" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Rush Download2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_Котик" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SmartWeb');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_005010189');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_005010189.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
ExecuteSysClean;
ExecuteRepair(4);
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Логи сделал. Карантин загрузил.
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
Отчет прилагаю. По прошествии двух суток ничего не происходит.
Благодарю за помощь в борьбе с этими вредителями!
Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\котик\appdata\local\rush download\{202edb0a-ee3d-2119-aac8-62279b1779bb}\owlnhpy.dll - [B]not-a-virus:WebToolbar.Win32.CrossRider.apqa[/B][*] c:\users\котик\appdata\local\rush download\{202edb0a-ee3d-2119-aac8-62279b1779bb}\rushdownload.dll - [B]not-a-virus:WebToolbar.Win32.CrossRider.apka[/B][*] c:\users\котик\appdata\local\smartweb\smartwebhelper.exe - [B]not-a-virus:AdWare.Win32.PriceGong.a[/B] ( DrWEB: Adware.Shopper.845 )[/LIST][/LIST]